AnthropicのMythosモデルは、脆弱性を見つけるのに非常に優れているため、Claudeを作る側が、犯罪者に悪用されることを恐れて一般向けに公開するのをためらっているとされています。しかし初期分析では、Mythosは一部の人が考えるほど危険ではない可能性があるようです。

Anthropicは、Mythosをプレビューとして公開し、Project Glasswingという名目のもと、選ばれたが、しかも増え続けている数の組織に対して提供しました。狙いは、犯罪者が“うたわれる”ゼロデイのマシンを手に入れる前に、自社環境で脆弱性を見つけ、修正できるようにすることでした。

この計画は、意図したとおりにはうまくいきませんでした。水曜日、AnthropicのスポークスマンはThe Registerに対し、Glasswingではない一部のパートナーがそのモデルにアクセスした可能性があることを認めました。ただし、それはAnthropicの本番用APIを経由したものではないとのことです。

「私たちは、第三者ベンダーの環境のいずれかを通じて、Claude Mythosプレビューへの不正アクセスがあったという報告を調査しています」とスポークスマンは述べました。

侵入者アラート

AI企業はその第三者ベンダーの名前を明らかにしませんでしたが、モデル開発の面でAnthropicが取引している企業であることは明かしました。第三者ベンダーの環境を越えて不正な活動が拡大した形跡や、Anthropicのシステムに影響が及んだ形跡はない、と当局は伝えています。

当初不正アクセスを報じたBloombergは、「ごく少数の人たち」が、Anthropicの過去のモデルに基づいて「モデルのオンライン上の場所について、ある程度推測した」ことでMythosにアクセスできたとし、その詳細は直近のMercorのデータ侵害で明らかになった、としています。 

MercorはAI人材派遣のスタートアップで、Anthropicを含む大手AIラボに、専門の請負業者（スペシャライズド・コントラクター）を供給しています。今月初め、Mercorは、LiteLLMのサプライチェーン攻撃の影響を受けた「数千社の企業の1つ」だったと述べました。

この無許可のユーザー集団は、伝えられるところによると民間のDiscordチャンネルに属しており、AnthropicがProject Glasswingを発表した当日にMythosへアクセスできるようになったとのことです。それ以来、Bloombergによれば、彼らは「脆弱性探知（バグハンティング）」マシンを「ちょっといじっている」だけであり、悪用する意図には関心がないそうです。 

集団がMythosで何をしていようと、そのアクセスは重要なポイントをいくつか示しています。 

まず、コードを隠し続けるのは本当に難しい（これは、Anthropicの先日のClaude Codeソースコード漏えいによっても裏付けられています）。特に、新しいモデルの動作確認（タイヤを回す）をしたいのがサイバーセキュリティやエンジニアリングの人たちである場合にはなおさらです。しかも彼らは、そのためにネットワークやデータベースへハックする必要すらありませんでした。インサイダーおよびサプライチェーン上の脅威は、本当に現実の脅威です。

「Mythosの侵害は、高度な攻撃を必要としませんでした」と、防御技術（ディセプション・テック）企業AcalvioのCEO、Ram VaradarajanはThe Registerに語りました。「請負業者、URLパターン、そして初日から当てずっぽうで言える推測（day-one guess）だけで済んだのです。つまり、“管理されたリリース”モデルは、モデルの能力が問題になる前に、最も弱いリンクのところで破綻していました。」

さらに、Anthropicが新しいモデルにまつわる誇大な宣伝（バズ）をこれだけ巻き起こしたことを考えれば、ランプから出た魔神が現実になっても驚くべきことではありません。

Mythosに関するAnthropicのマーケティングメッセージは、実質的に挑戦状であり、キャプチャ・ザ・フラッグ演習と大差ないものでした

「Mythosに関するAnthropicのマーケティングメッセージは実質的に挑戦状で、キャプチャ・ザ・フラッグのようなものです。そこでは、Mythosへの無許可のアクセスができたという主張が成功に含まれます」と、サプライチェーン・セキュリティの専門店Black Duckのリスク戦略責任者Tim MackeyはThe Registerに語りました。 

誇大広告を切り分ける

そのマーケティングは現実を上回っていたのかもしれません。Mythosのプレビュー利用者に関する初期報告では、AWSやMozillaなどが、モデルが脆弱性を見つけるうえで非常に優れており非常に高速であること、またセキュリティエンジニアによる手取り足取りの支援が以前より少なくて済むため、人間のチームにとって歓迎すべき時間短縮になる一方で、まだ人間のセキュリティ研究者を凌駕（超える）には至っていないことを示しています。 

「これまでのところ、人間が見つけられるカテゴリーや複雑さの脆弱性であっても、このモデルが見つけられないものはありません」と、MozillaのCTOであるBobby Holleyは、Firefox 150においてMythosが271件の脆弱性を見つけたことを明らかにした上で、そう述べました。その後、彼はさらに「また、見つけられないようなバグを目にしたこともありません。見つけられるのは、エリートの人間研究者です」と付け加えました。言い換えれば、チームに自動化されたセキュリティ研究者を追加するようなものです。世界に対して危険すぎるゼロデイ・マシンではありません。

取るに足らない話（大したことない）。相手（敵対者）は、あなたをハックするのにMythosを必要としていない

Anthropicは新モデルの発表時に、Mythosが「追加で数千件もの高深刻度および重大度（critical-severity）の脆弱性」を特定したと主張しました。しかしVulnCheckの研究者Patrick Garrityは、どうやら先週時点の数としては最大でも40件程度だと“数を挙げた”うえで述べています。あるいは、まったくなかったのかもしれません。

別のエンジニアであるDevanshは、Mythosに関連するCVEアドバイザリや、Anthropicのエクスプロイトコード、44プロンプトのトランスクリプト、244ページに及ぶシステムカードに加えて、Glasswingパートナー契約、レッドチームの記述（writeup）を精査しました。さらに、Aisleの複製研究（レプリケーションスタディ）も調べました。そこでは、Mythosのショーケースで示された脆弱性を、小型で安価なオープンウェイトモデル上でテストしたところ、同様の分析が大部分得られたとされています。

Devanshは最終的に、見つかったバグは本物だが、真のMythosの物語は「誤情報と誇大宣伝の類だ」と結論づけたそうです。

• Mythosは271件のFirefoxの欠陥を見つけた—だが、人間に見つけられないものはなかった
• AnthropicのProject Glasswingが実際に見つけたCVEの数は誰も知らない
• Anthropicの謎のMythos AIは、情報セキュリティの世界をかき乱す恐れがある
• Anthropic：あなたのゼロデイは全部Mythosのもの

例えば、Anthropicが「181件のFirefoxエクスプロイト」として主張したものは、ブラウザのサンドボックスをオフにした状態で動作しており、FreeBSDのエクスプロイトのトランスクリプトには「自律性ではなく、相当量の人間の誘導が示されている」とされています。 

さらにDevanshは「『数千件の深刻な脆弱性』の推定は、198件の手動レビュー済みレポートからの外挿（推計）に基づいています。Linuxカーネルのバグは、Mythosではなく公開モデルであるOpus 4.6によって見つかったものです」と述べました。

別の研究者であるDavi Ottenheimerは、Anthropicの244ページに及ぶドキュメントのセキュリティセクション（第3章、47〜53ページ）について「ゼロデイに関するカウント（件数）の記載がまったくありません。CVEの一覧もありません。CVSSの分布もありません。深刻度のバケットもありません。開示のタイムラインもありません。ベンダーが確認した“新規性”の表もありません。誤検知率もありません」と指摘しました。

Ottenheimerはそれを「オズの魔法使い」の結末のようだと例え、「別のモデルが見つけた2つのバグを武器化することでモデルを“台無しにする”悲しい失望がある。しかもベンダーがすでにパッチを当てていたソフトウェアで、ブラウザのサンドボックスやdefense-in-depth（多層防御）の緩和策が取り除かれたテスト環境での出来事だ」と言います。

オフェンシブAIハッキング企業Horizon3.aiの共同創業者兼CEOであるSnehal Antaniは、The Registerに対し「攻撃者は、脆弱性研究を加速するのにMythosを必要としていません。4.6やオープンソースのモデルで、すでに脆弱性プロセスは加速されているからです」と語りました。

セキュリティコミュニティは、無許可のMythosアクセスについて懸念すべきかと問われた際、Antaniは「いいえ」と答えた。「率直に言うと、それは取るに足らない話（nothingburger）です」と彼は私たちに語った。「敵対者は、あなたをハックするのにMythosを必要としていません。」 ®

関連記事

• AI
• Anthropic
• セキュリティ

これに近い内容